Uma falha de segurança agora corrigida no navegador Microsoft Edge pode ter sido usada para instalar extensões arbitrárias nos sistemas dos usuários e realizar ações maliciosas.
“Essa falha poderia ter permitido que um invasor explorasse uma API privada, inicialmente destinada a fins de advertising, para instalar secretamente extensões de navegador adicionais com amplas permissões sem o conhecimento do usuário”, disse Oleg Zaytsev, pesquisador de segurança do Guardio Labs, em um novo relatório compartilhado com o The Hacker. Notícias.
Rastreado como CVE-2024-21388 (pontuação CVSS: 6,5), foi abordado pela Microsoft na versão estável do Edge 121.0.2277.83 lançada em 25 de janeiro de 2024, após divulgação responsável em novembro de 2023. O fabricante do Home windows creditou Zaytsev e Jun Kokatsu por relatando o problema.
“Um invasor que explorar com sucesso esta vulnerabilidade pode obter os privilégios necessários para instalar uma extensão”, disse a Microsoft em um comunicado sobre a falha, acrescentando que “poderia levar a uma fuga da sandbox do navegador”.
Descrevendo-o como uma falha de escalonamento de privilégios, a gigante da tecnologia também enfatizou que uma exploração bem-sucedida do bug exige que o invasor “tome ações adicionais antes da exploração para preparar o ambiente alvo”.
De acordo com as descobertas de Guardio, CVE-2024-21388 permite que um malfeitor com a capacidade de executar JavaScript nas páginas bing(.)com ou microsoft(.)com instale quaisquer extensões da loja Edge Add-ons sem exigir o consentimento ou interação do usuário .
Isso é possível porque o navegador vem com acesso privilegiado a determinadas APIs privadas que possibilitam a instalação de um complemento, desde que seja do próprio mercado de extensões do fornecedor.
Uma dessas APIs no navegador Edge baseado em Chromium é edgeMarketingPagePrivate, que pode ser acessado a partir de um conjunto de websites permitidos que pertencem à Microsoft, incluindo bing(.)com, microsoft(.)com, microsoftedgewelcome.microsoft(.)com e microsoftedgetips .microsoft(.)com, entre outros.
A API também inclui um método chamado installTheme() que, como o nome indica, é projetado para instalar um tema do armazenamento de complementos do Edge, passando um identificador de tema exclusivo (“themeId”) e seu arquivo de manifesto como entrada.
O bug identificado pelo Guardio é essencialmente um caso de validação insuficiente, permitindo assim que um invasor forneça qualquer identificador de extensão da vitrine (em oposição ao themeId) e instale-o furtivamente.
“Como um bônus adicional, como a instalação desta extensão não é feita exatamente da maneira para a qual foi originalmente projetada, não haverá necessidade de qualquer interação ou consentimento do usuário”, explicou Zaytsev.
Em um cenário hipotético de ataque aproveitando CVE-2024-21388, um agente de ameaça poderia publicar uma extensão aparentemente inofensiva no armazenamento de complementos e usá-la para injetar um código JavaScript malicioso no bing(.)com – ou em qualquer um dos websites que têm permissão para acessar a API – e instalar uma extensão arbitrária de sua escolha invocando a API usando o identificador da extensão.
Em outras palavras, executar a extensão especialmente criada no navegador Edge e acessar o bing(.)com instalará automaticamente a extensão direcionada sem a permissão da vítima.
Guardio disse ao The Hacker Information que, embora não haja evidências de que esse bug esteja sendo explorado, ele destaca a necessidade de equilibrar a conveniência e a segurança do usuário, e como as personalizações do navegador podem inadvertidamente derrotar os mecanismos de segurança e introduzir vários novos vetores de ataque.
“É relativamente fácil para os invasores enganar os usuários para que instalem uma extensão que parece inofensiva, sem perceber que ela serve como passo inicial para um ataque mais complexo”, disse Zaytsev. “Esta vulnerabilidade poderia ser explorada para facilitar a instalação de extensões adicionais, potencialmente para ganho monetário.”
